COSO, COBIT, ERM

1. I.
COBIT,COSO dan ERM dan Penerapannya di Kementerian Keuangan
Oleh:
Wendi Nurhayat
Dosen:
Prof. Dr. Hapzi Ali, CMA
Mercubuana 2018

2. COSO ( Committee of Sponsoring Organization )
COSO adalah sekelompok sektor swasta yang terdiri dari American Accounting Association ,
AICPA, Institute of Internal Auditors, Institutes of Management Accountants, dan Financial Executives
Institute yang mengeluarkan hasil penelitian untuk mengembangkan definisi pengendalian internal
dan memberikan petunjuk untuk mengevaluasi sistem pengendalian internal.
Fungsi Dari COSO adalah agar organisasi dapat melakukan :
1. Efektivitas dan efisiensi operasional organisasi
2. Menyusun Keandalan pelaporan keuangan
3. Melakukan kegiatan perusahaan sesuai dengan Hukum dan peraturan yang berlaku (Marshal
B. Roomney, 2006)
Berdasarkan COSO, pengendalian internal adalah proses karena hal tersebut menembus kegiatan
operasional organisasi dan merupakan bagian integral dari kegiatan manajemen dasar. Pengendalian
internal memberikan jaminan yang wajar, bukan yang absolut, karena kemungkinan kesalahan
manusia, kolusi dan penolakan manajemen atas pengendalian, membuat proses ini menjadi tidak
sempurna.
Lima Komponen Model Pengendalian Internal COSO:
Komponen Deskripsi
LIngkungan Pengendalian Inti dari bisnis adalah orangnya, ciri perorangan,
termasuk integritas, nilai-nilai etika, dan
kompetensi , serta lingkungan tempat beroperasi.
Mereka adalah mesin yang menjalankan
organisasi
Aktivitas Pengendalian Kebijakan dan Prosedur pengendalian harus
dibuat dan dilaksanakan untuk membantu
memastikan bahwa tindakan yang diidentifikasi
oleh pihak manajemen untuk mengatasi risiko
pencapaian tujuan organisasi, secara efektif
dijalankan.
Penilaian risiko Organisasi harus sadar akan risiko yang
dihadapinya. Organisasi harus menempatkan
tujuan, yang terintegrasi dengan penjualan,
produksi, pemasaran, keuangan dan kegiatan
lainnya, agar organisasi beropearsi secara
harmonis. Organisasi juga harus membuat
mekanisme untuk mengindentifikasi, menganalisis

3. dan mengelola risiko yang terkait.
Informasi dan Komunikasi Dalam aktivitas pengendalian terdapat sistem
informasi dan komunikasi. Mereka memungkinkan
orang-orang dalam organisasi untuk mendapat
dan bertukar informasi yang dibutuhkan untuk
melaksanakan, mengelola dan mengendalikan
operasinya.
Pengawasan Seluruh proses harus diawasi, dan perubahan
dilakukan sesuai dengan kebutuhan. Melalui cara
ini, sistem dapat beraksi secara dinamis, berubah
sesuai dengan tuntutan keadaan.
II. COBIT Control Objectives for Information and Related Technology
COBIT adalah sebuah kerangka praktikpengendalian untuk teknologi informasi, dan keamanan
sistem informasi yang pada umumnya dapat diaplikasikan.
Fungsi dari COBIT :
1. Pihak manajemen melakukan perbandingan atas praktik keamanan dan pengendalian dalam
lingkungan teknologi informasi
2. Pemakai layanan teknologi informasi untuk merasa pasti akan adanya pengendalian dan
keamana yang memadai
3. Para auditor memverifikasi pendapat mereka atas pengendalian internal dan untuk
memberikan saran dalam masalah keamanan dan pengendalian informasi teknologi
Kerangka tersebut menangani isu pengendalian berdasarkan tiga poin atau dimensi yang
menguntungkan, yaitu:
1. Tujuan bisnis
Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria yang disebut COBIT
sebagai persyaratan bisnis atas informasi. Kriteria tersebut dibagi dke dalam katergori
terpisah tetapi saling melengkapi, yang mencerminkan tujuan-tuuan COSO, yaitu: efektifitas,
efisiensi, kerahasiaan, integritas, keterseidiaan, kesesuaian, dengan persyaratan hukum dan
keandalan
2. Sumber daya-sumber daya Teknologi Informasi
Orang, sistem aplikasi, teknologi, fasilitas, dan data

4. 3. Proses Teknologi Informasi
Perencanaan dan organisasi, proses perolehan dan implementasi, pengiriman dan
pendukung, serta pengawasan
III. Enterprise Risk Management Frame Work (ERM)
ERM adalah kerangka lanjutan dari COSO yang semula dibuat dimana ERM merupakan proses
yang dilakukan oleh pihak manajemen dalam menggunakan strategi, mengidentifikasi kejadian
yang dapat berpengaruh terhadap entitas, menilai dan mengelola risiko , dan menyediakan
kepastian yang masuk akal dalam rangka pencapaian tujuan organisasi. (Steinbart, 2012)
Komponen ERM:
1. Lingkungan Pengendalian
2. Tujuan Organisasi
3. Identifikasi Kejadian
4. Penilaian Risiko
5. Respon terhadap risiko
6. Aktivitas Pengendalian
7. Informasi dan Komunikasi
8. Pengawasan
Yang membedakan dari COSO dan ERM adalah terdapatnya penjelasan detail terhadap risiko yang
semula pada COSO Framework, hanya sebatas penilaian risiko saja. Akan tetapi pada ERM ini lebih
diperjelas.
Fungsi dari ERM
a. Identifikasi Kejadian
COSO mendefinisikan kejadian adalah suatu peristiwa yang berasal dari pihak internal maupun
eksternal yang akan mempengaruhi atas pengimplementasian strategi perusahaan atau
pencapaian tujuan. Kejadian/peristiwa ini dapat berdampak positif atau negative. Kejadian
merepresentasikan sesuatu yang tidak pasti, bisa terjadi atau tidak. Apabila terjadi, hal ini sulit
diketahui. Meskipun terjadi, hal ini sangat sulit untuk dimasukkan ke dalam suatu dampak bagi
organisasi. Ketika hal itu terjadi, dapat dipicu oleh kejadian lain. Kejadian dapat terjadi atas setiap
peristiwa atau bersamaan
b. Penilaian Risiko
Risiko terdiri dari risiko bawaan dan risiko sisa

5.  Risiko bawaan sudah ada sebelum pihak manajemen melakukan langkah-langkah
pengendalian atas kemungkinan atau dampak dari suatu kejadian.
 Risiko sisa adalah risiko yang masih ada setelah manajemen mengimplementasikan
pengendalian internal atau langkah lain dalam merespon suatu risiko.
c. Respon terhadap risiko
Respon terhadap risiko ada 4 :
 Mengurangi
Mengurangi kemungkinan dan dampak dari risiko dengan mengimplementasikan sistem yang
efektif dari pengendalian internal
 Menerima
Menerima kemungkinan dan dampak dari risiko
 Membagi
Membagi atau mengalihkan risiko kepada hal lain seperti membli asuransi memberikan
aktivitas organisasi kepada pihak lain (outsourcing), atau memasukkan transaksi ke hedging.
 Menolak
Menolak risiko dengan tidak memasukkan kepada aktivitas dalam rangka mengelola risiko
tersebut. Hal ini dapat berupa penjualan divisi, keluar dari lini produk.

6. PENERAPAN COSO DI LINGKUNGAN KEMENTERIAN KEUANGAN
Saat ini Kementerian Keuangan melalui COSO Framework Penerapan COSO di Kementerian
Keuangan masih berhubungan erat dengan ditandatanganinya Keputusan Menteri Keuangan Nomor
940.KMK/2017 Tentang Kerangka Kerja Penerapan Pengendalian Intern dan Pedoman Pemantauan
Pengendalian Intern di Lingkungan Kementerian Keuangan. Apabila dijabarkan sesuai dengan
komponen-komponen di dalam COSO Framework, dapat dilihat di dalam penjelasan berikut ini:
a. Lingkungan Pengendalian
Sesuai dengan penjelasan tentang deskripsi lingkungan pengendalian bahwasanya unsur-unsur
lingkungan pengendalian adalah penerapan nilai etika, integritas, serta kompetensi yang dimiliki
oleh para pegawai sebagai sumber daya di organisasi dalam mencapai tujuan organisasi.
Berkaitan dengan penanaman nilai-nilai etika organisasi dan integritas, UU Nomor 5 Tahun 2014
tentang Aparatur Sipil Negara menyebutkan bahwa untuk menjaga martabat dan tanggung
jawabnya, seorang Aparatur Sipil Negara harus menerapkan kode etik dan kode prilaku dalam
setiap tindak tanduknya diantaranya melaksanakan tugasnya dengan jujur, bertanggung jawab,
dan berintegritas tinggi. Selain itu dalam Peraturan Pemerintah Nomor 53 Tahun 2010 tentang
Disiplin Pegawai Negeri Sipil, menyebutkan bahwa pegawai negeri sipil wajib menaati kewajiban
dan menghindari larangan yang ditentukan dalam peraturan perundang-undangan dan/atau
peraturan kedinasan yang apabila tidak ditaati atau dilanggar dijatuhi hukuman disiplin. Di
Lingkungan Kementerian Keuangan sendiri melalui Keputusan Menteri Keuangan Nomor
312/KMK.01/2011 Tentang Nilai-Nilai Kementerian Keuangan Menyebutkan bahwa salah satu
dari nilai-nilai Kementerian Keuangan yang merupakan nilai yang paling pertama adalah
Integritas. Integritas disebutkan menjadi point pertama karena begitu pentingnya nilai ini untuk
ditegakkan, karena akan menjadi cermin bagi nilai-nilai yang lainnya. Adapun penjabaran dari
integritas yang dimaksud adalah bersikap jujur, tulus dan dapat dipercaya dan menjaga martabat
dan tidak melakukan perbuatan hal-hal tercela. Lingkungan pengendalian di Kementerian
Keuangan sudah dibentuk sedemikian rupa agar para pegawainya diharapkan dapat menjunjung
tinggi nilai integritas dan etika dalam setiap prilaku sehariharinya sehingga perbuatan-perbuatan
korupsi, kolusi, nepotisme maupun hal-hal tercela lainnya dapat dihindari. Meskipun masih ada
saja oknum-oknum yang masih berani melanggar nilai-nilai integritas demi kepentingan pribadi
semata. Bagi oknum-oknum yang seperti itu maka Kementrian Keuangan akan menindak tegas
sesuai dengan peraturan yang berlaku tergantung tingkat kedisiplinan apa yang dilanggar.
b. Aktivitas Pengendalian

7. Aktivitas pengendalian di Kementerian Keuangan dilakukan melalui Tiga Lini Pertahanan (Three
Lines of Defense) yang meliputi
 Lini Pertahanan Pertama (First Line),
Yang dilaksanakan oleh manajemen unit kerja dan seluruh pegawai unit kerja yang
bersangkutan, di tingkat unit eselon I, kantor wilayah dan kantor pelayanan di lingkungan
Kementerian Keuangan. Manajemen unit kerja memiliki tugas dan tanggung jawab mencegah
kesalahan, mendeteksi kecurangan, serta mengidentifikasi kelemahan dan kerentanan
pengendalian dengan memperhatikan prinsip dan kebijakan umum penerapan pengendalian
internal.
 Lini Pertahanan Kedua (Second Line)
Yang dijalankan oleh Unit Kepatuhan Internal (UKI) atau unit kerja yang melaksanakan fungsi
Unit Kepatuhan Internal (UKI) di tingkat unit eselon I, kantor wilayah, dan kantor pelayanan di
Lingkungan Kementerian Keuangan. UKI memiliki tugas dan tanggung jawab membantu
manajemen unit kerja dalam melaksanakan pemantauan pengendalian internal.
 Lini Pertahanan Ketiga (Third Line)
Yang dijalankan oleh Inspektorat Jenderal. Inspektorat Jenderal memiliki tugas dan tanggung
jawab melakukan pengembangan metodologi, perangkat, dan mekanisme kerja seluruh unsur
pengendalian internal dan melakukan asistensi, monitoring, dan evaluasi dalam rangka
penerapan pengendalian internal di Lingkungan Kementerian Keuangan. Aktivitas
pengendalian yang dilakukan merupakan kebijakan/prosedur untuk memastikan bahwa
arahan manajemen telah dilaksanakan pada seluruh tingkatan dan fungsi di Lingkungan
Kementerian Keuangan. Aktivitas pengendalian yang dilaksanakan antara lain melaui :
pemberian persetujuan, otorisasi, verifikasi,reviu atas kinerja, pengamanan asset, dan
pemisahan tugas.
c. Penilaian Risiko
Kegiatan penilaian risiko dalam rangka pengendalian internal di Lingkungan Kementerian
Keuangan dilakukan pada saat kegiatan evaluasi pengendalian internal tingkat unit kerja, dimana
salah satu komponen dari kegiatan tersebut adalah melakukan evaluasi atas prosedur penilaian
risiko pada unit kerja masing-masing, selain itu evaluasi atas pembagian tugas untuk mengurangi
risiko kecurangan (fraud). Pelaksanaan evaluasi ini dilakukan minimal sekali dalam dua tahun atau
apabila terdapat kondisi-kondisi yang dapat mempengaruhi pengendalian internal unit kerja,
seperti perubahan pimpinan, perubahan proses bisnis yang strategis dan perubahan struktur
organisasi. Kegiatan evaluasi dilakukan dengan menggunakan tools berupa wawancara dan
survey yang disampaikan kepada pengelola risiko maupun unit kepatuhan internal di masing-

8. masing unit kerja di Lingkungan Kementerian Keuangan. Sehingga dari kegiatan ini dapat
diketahui hal-hal apa saja yang perlu diperbaiki ke depannya untuk menghindari risiko-risiko yang
tidak diinginkan oleh unit-unit kerja di Lingkungan Kementerian Keuangan.
d. Informasi dan Komunikasi
Praktik pertukaran informasi dan komunikasi dalam proses pengendalian internal dilakukan
melalui koordinasi dan hubungan kerja Pelaksana Pemantauan dengan Inspektorat Jenderal,
dimana aktivitas tersebut dilakukan sebagai berikut :
 Unit Kepatuhan Internal meminta masukan Inspektorat Jenderal dalam menyusun
pemantauan tahunan;
 Unit Kepatuhan Internal menyampaikan rencana pemantauan tahunan dan hasil peningkatan
kualitas pengendalian internal kepada Inspektorat Jenderal;
 Unit Kepatuhan Internal membahas tindak lanjut temuan yang berindikasi kecurangan (fraud)
dengan Inspektorat Jenderal;
 Inspektorat Jenderal memberikan konsultasi pengembangan pemantauan pengendalian
internal di Lingkungan Kementerian Keuangan;
 Inspektorat Jenderal menggunakan rencana pemantauan tahunan dan hasil pemantauan
pelaksana pemantauan dalam menyusun perencanaan pengawasan, dan melakukan kegiatan
asurans terhadap pelaksanaan pemantauan pengendalian internal.
e. Pengawasan/Pengawasan
Pelaksanaan pemantauan/pengawasan pengendalian internal di Lingkungan Kementerian
Keuangan dilaksanakan melalui:
 Evaluasi pengendalian internal tingkat unit kerja/unit kerja (entity level) yang terdiri atas
kegiatan evaluasi atas lingkungan pengendalian, penilaian risiko, kegiatan pengendalian,
informasi dan komunikasi, serta pemantauan;
 Kegiatan lain yang dilaksanakan adalah evaluasi kecukupan rancangan untuk memberikan
keyakinan memadai bahwa seluruh risiko utama telah diidentifikasi dan pengendalian utama
telah dirancang dengan tepat sehingga pada saat dilaksanakan dapat mencegah dan/atau
mendeteksi kesalahan. Ada pula kegiatan pemantauan pengendalian utama yang meliputi
pengujian kepatuhan pengendalian utama dan pengujian keakuratan pengendalian utama.
Pada kegiatan pemantauan pengendalian utama terdapat kegiatan pemantauan pengendalian
internal tingkat aktivitas (activity level) yang dilaksanan oleh pelaksana pemantauan untuk
menilai aktivitas pengendalian internal terhadap pelaksanaan proses bisnis manajemen.
 Hasil pemantauan pengendalian internal berupa kesimpulan yang terdiri atas: Pengendalian
internal efektif; Pengendalian internal efektif dengan pengecualian; atau Pengendalian

9. internal mengandung kelemahan material. Dalam proses pemantauan terdapat kegiatan
pemantauan berkelanjutan (on going monitoring) yang merupakan pemantauan atas
pengendalian internal yang melekat dalam aktivitas operasi normal suatu unit kerja, yaitu
meliputi aktivitas pengelolaan dan pengawasan rutin, dan tindakan lainnya yang dilaksanakan
pemilik pengendalian dalam rangka pelaksanaan tugasnya.
1. PENERAPAN COBIT DI LINGKUNGAN KEMENTERIAN KEUANGAN
Dari hasil penelitian yang dilakukan terhadap Kantor Pelayanan Pajak Pratama Salatiga atas
penerapan COBIT 5 dapat dilihat dari point-point di bawah ini:
 Hasil penilaian kinerja Sistem Informasi E-Filing KPP Pratama Kota Salatiga dari 3 proses pada
COBIT 5 belum ada yang mencapai level 3.
 Rata-rata tingkat kematangan kinerja Sistem Informasi E-Filing KPP Pratama Kota Salatiga dari
ketiga proses yang dianalisa adalah 1,22 berada pada Level 1 (Performed). Diartikan bahwa
telah dilakukan implementasi tetapi tidak ada kontrol serta perencanaan yang terstruktur.
 Sebagian besar aktivitas dalam kendali DJP Pusat dan semua kebijakan ada pada DJP Pusat.
KPP Pratama Kota Salatiga sebagai pelaksana yang melaksanakan pelayanan, penyuluhan dan
pengawasan Wajib Pajak dengan prosedur dari DJP Pusat.
 COBIT 5 menyediakan kerangka kerja untuk mengukur dan memantau kinerja TI. Sehingga
dalam evaluasi kinerja SI E-Filing tepat jika menggunakan pendekatan dengan COBIT 5.
 Tata kelola TI pada KPP Pratama belum dilakukan secara menyeluruh sehingga harapan yang
dicapai saat ini belum optimal. (Andani, 2017, April)
2. PENERAPAN ERM DI LINGKUNGAN KEMENTERIAN KEUANGAN
Penerapan Enterprise Risk Management di lingkungan Kementerian Keuangan tertuang di dalam
Peraturan Menteri Keuangan Nomor 171/PMK.01/2016 tentang Manajemen Risiko di Lingkungan
Kementerian Keuangan dan Keputusan Menteri Keuangan Nomor 845/KMK.01/2016 tentang
Petunjuk Pelaksanaan Manajemen Risiko di Lingkungan Kementerian Keuangan.
Wujud penerapan manajemen risiko di lingkungan Kementerian Keuangan dengan dilaksanakannya
beberapa point penting di bawah ini:
a. Pengembangan Budaya Sadar Risiko
Pengembangan budaya sadar risiko adalah kegiatan seperti:
 komitmen pimpinan untuk mempertimbangkan risiko dalam setiap pengambilan keputusan

10.  komunikasi yang berkelanjutan kepada seluruh jajaran organisasi mengenai pentingnya
Manajemen Risiko
 penghargaan terhadap mereka yang dapat mengelola Risiko dengan baik
 pengintegrasian Manajemen Risiko dalam proses organisasi
b. Pembentukkan Struktur Manajemen Risiko
Struktur Manajemen Risiko di Kementerian Keuangan adalah :
 Komite Manajemen Risiko di tingkat Kementerian
 Komite Manajemen Risiko di tingkat Unit Eselon I
 Unit Pemilik Risiko (UPR)
 Unit kepatuhan Manajemen Risiko
 Inspektorat Jenderal
c. Penyelenggaraan Proses Manajemen Risiko
 Penetapan Konteks Risiko, Penilaian Risiko, Penangangan Risiko, Piagam Manajemen Risiko
Kegiatan ini dilaksanakan pada bulan November tahun sebelumnya sampai dengan bulan
Januari tahun berjalan
 Pelaksanaan Mitigasi Risiko
Kegiatan ini dilaksanakan selama 12 bulan yaitu pada bulan Januari sampai dengan Desember
tahun berjalan
 Monitoring dan Reviu Risiko dan Pembuatan Laporan Manajemen Risiko
Kegiatan ini dilaksanakan secara triwulanan

11. d.
Gambar 1 Arsitektur Manajemen Risiko Kementerian Keuangan (Mangasa Simatupang, 2018)
Daftar Pustaka
1. UU Nomor 5 Tahun 2014 tentang Aparatur Sipil Negara;
2. Peraturan Pemerintah Nomor 53 Tentang Disiplin Pegawai Negeri Sipil;
3. KMK Nomor 940/KMK.01/2017 Tentang Tentang Kerangka Kerja Penerapan Pengendalian Intern
dan Pedoman Pemantauan Pengendalian Intern di Lingkungan Kementerian Keuangan;
4. KMK Nomor 312/KMK.01/2011 Tentang Nilai-nilai Kementerian Keuangan
5. Andani, A. F. (2017, April). Evaluasi Kinerja Sistem Informasi E-Filing Menggunakan COBIT 5 Pada
Kantor Pelayanan Pajak Pratama Salatiga. JUTEI, 61-70.
repository.uksw.edu/bitstream/123456789/13843/5/T1_682015602_Full%20text.pdf
6. Mangasa Simatupang, W. U. (2018, Maret 12). Pelatihan Manajemen Risiko (Reguler), MP :
Penerapan Manajemen Risiko di Kementerian Keuangan. Jakarta: Pusdiklat Keuangan Umum ,
BPPK, Kementerian Keuangan.
7. Steinbart, M. B. (2012). Accounting System Informations. Edinburg: Pearson.
8. Marshal B. Roomney, P. J. (2006). Sistem Informasi Akuntansi Edisi 9. Jakarta: Salemba 4.